Frage Mysteriöser Besucher der versteckten PHP-Seite


Auf meiner Website habe ich eine "versteckte" Seite, auf der eine Liste der letzten Besucher angezeigt wird. Es gibt überhaupt keine Links zu dieser einzelnen PHP-Seite, und theoretisch weiß ich nur von ihrer Existenz. Ich überprüfe es mehrmals am Tag, um zu sehen, welche neuen Hits ich habe.

Aber ungefähr einmal pro Woche bekomme ich einen Treffer von einer 208.80.194. * -Adresse auf dieser vermeintlich versteckten Seite (sie zeichnet Treffer auf sich selbst). Das Seltsame ist das: dieser geheimnisvolle Mensch / Bot tut es nicht Besuch irgendein andere Seite auf meiner Seite. Nicht die öffentlichen PHP-Seiten, sondern nur Diese versteckte Seite, die die Besucher druckt. Es ist immer ein einzelner Treffer und der HTTP_REFERER ist leer. Die anderen Daten sind immer eine Variation von

Mozilla / 4.0 (kompatibel; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b)

... aber manchmal MSIE 6.0 anstelle von 7 und verschiedenen anderen Plugins. Der Browser ist jedes Mal anders als die niedrigstwertigen Bits der Adresse.

Und genau das ist es. Ein Treffer pro Woche oder so, zu dieser einen Seite. Absolut keine anderen Seiten werden von diesem mysteriösen Besucher berührt.

Machen a whois Auf dieser IP-Adresse zeigte sich, dass es aus dem New Yorker Gebiet und vom "Websense" ISP stammt. Die niedrigsten 8 Bits der Adresse variieren, aber sie sind immer von der 208.80.194.0/ 24 Teilnetz.

Von den meisten Computern, mit denen ich auf meine Website zugreife, mache ich ein traceroute Zu meinem Server gehört nirgends ein Router mit der IP 208.80. *. Das schließt also jede Art von HTTP-Sniffing aus, könnte ich mir denken.

Wie und warum passiert das? Es scheint völlig gutartig, aber unerklärlich und ein wenig gruselig.


55
2018-04-04 22:57


Ursprung


Sehr interessant; googeln für FunWebProducts - Das zweite Ergebnis ist How do I uninstall Fun Web Products from my computer? - Mark Henderson♦
Diese Fragen liebend, war meine erste Frage - ... bist du es? - Louis
FYI, drop einen Htaccess auf der Seite verursacht es Benutzername und Pass und Websense wird nur noch einmal treffen, bevor Sie es aufgeben - SpYk3HH
@ SpYk3HH - ok, danke! - B. VB.


Antworten:


Websense? Websense klassifiziert URLs und sucht nach "ungezogenen" Dingen im Internet. Ihre Produkte erscheinen normalerweise in Unternehmensumgebungen.

Ich wette, dass Sie Ihre geheime Seite von HTTP von einer Firma, die Websense installiert hat, zugegriffen haben und sie automatisch die Seite zu ihrer (vermutlich riesigen) Liste von Seiten hinzugefügt haben, um nach Porno, Warez, Foren usw. zu suchen.

Was den variierenden Header anbetrifft, vermute ich, dass ihr Roboter alle möglichen möglichen Banner zur Auswahl hat und sie absichtlich so verändert, dass sie sich vor der Analyse verstecken und so tun, als wäre es kein Bot. In der Tat, eine schnelle Google-Suche von FunWebProducts websense alles bestätigt die Theorie.


89
2018-04-05 00:00



+1, weil ich den Gebrauch des Wortes gigantisch mag :-) Und weil es der wahrscheinlichste Grund ist, warum das passiert. - aseq
s/troll/trawl:-) - Matty
@Matty Guter Punkt ... Trolling ist für etwas zu kämpfen, Trawling zieht dafür ... - Jeff Ferland
@Matty Troll als Verb hat auch die Bedeutung: suchen, schauen, herumstreifen. Abgeleitet von der Angeltechnik. - Plutor
Und diese Seite ist bereits das zweite Google-Ergebnis für "FunWebProducts websense" - Ben Brocka


Der IP-Adressbereich gehört zu Websense. Sie können eines ihrer Produkte laufen lassen.

$ whois 208.80.194.0
[Querying whois.arin.net]
[whois.arin.net]

NetRange:       208.80.192.0 - 208.80.199.255
CIDR:           208.80.192.0/21
OriginAS:       AS13448
NetName:        WEBSENSE-NET2
NetHandle:      NET-208-80-192-0-1
Parent:         NET-208-0-0-0-0
NetType:        Direct Assignment
RegDate:        2007-07-25
Updated:        2012-03-02
Ref:            http://whois.arin.net/rest/net/NET-208-80-192-0-1

18
2018-04-04 23:55